Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Windows Hello: rozpoznawanie twarzy wyeliminuje hasła?
Windows Hello to wbudowany w Windows 10 zbiór rozmaitych metod uwierzytelniania biometrycznego. Jedną z nich jest coraz popularniejsze ostatnio rozpoznawanie twarzy.
Mechanizmy skanowania i rozpoznawania twarzy są coraz chętniej stosowane w bardzo różnych celach. W najnowszych Okienkach w taki właśnie sposób możemy logować się do systemu, eliminując tym samym konieczność korzystania z tradycyjnych haseł.
Funkcja Windows Hello daje możliwość bardziej osobistego logowania się na urządzeniach z systemem Windows 10 — wystarczy spojrzenie lub dotknięcie. Dzięki niej zapewnisz sobie bezpieczeństwo na poziomie wymaganym w przedsiębiorstwach bez konieczności wpisywania hasła.
Praktyczne działanie mechanizmów Hello przetestowali niedawno redaktorzy serwisu Ars Technica i wygląda na to, że są one całkiem sprawne i skuteczne:
W trybie podstawowym wystarczy po prostu spojrzeć na nasze urządzenie z Windows 10, by to mogło nas rozpoznać i zalogować. W trybie zwiększonego bezpieczeństwa usługa Hello wymaga od nas wykonania kilku ruchów głową, co powinno ochronić nas np. przed atakami z wykorzystaniem podstawienia zdjęcia.
Otwórz menu Start , a następnie wybierz polecenie Ustawienia > Konta > Opcje logowania, aby skonfigurować funkcję Windows Hello. Jeśli Twój komputer ma czytnik linii papilarnych lub odpowiednią kamerę, w obszarze funkcji Windows Hello, zobaczysz opcje rozpoznawania twarzy, linii papilarnych lub tęczówki. Po skonfigurowaniu tej funkcji będzie możliwe zalogowane się za pomocą szybkiego przesunięcia komputera lub spojrzenia na niego.
Niestety, by skorzystać z nowego mechanizmu uwierzytelniania, niezbędne jest posiadanie urządzenia wyposażonego w specjalną kamerę RealSense. Dostępne są również samodzielne moduły tego typu.
Technologia ta korzysta tak naprawdę z 2 kamer jednocześnie, w tym jednej działającej w podczerwieni, co prawdopodobnie pozwoli na poprawne rozpoznawanie nawet przy bardzo słabym oświetleniu.
Czy więc rzeczywiście rozpoznawanie twarzy może wyeliminować wysłużone hasła? Skorzystanie z nowej technologii będzie oznaczało, że trwałe zasłonięcie kamery w naszym laptopie lub tablecie nie jest możliwe, gdyż urządzenie będzie musiało co chwilę rejestrować obraz.
Czy Hello będzie w stanie odróżnić od siebie jednojajowe bliźnięta? Wreszcie, korzystając z tradycyjnych haseł możemy zawsze skutecznie odmówić ich podania (np. powołując się na luki w pamięci), co w przypadku mechanizmów rozpoznawania twarzy nie będzie już takie proste…
Biorąc pod uwagę powyższe wątpliwości, czy waszym zdaniem Windows Hello może być początkiem końca tradycyjnych haseł?
— Wojciech Smol
Początkiem końca tradycyjnych haseł mogą być najwyżej klucze kryptograficzne, no ale – klucz też wypada zabezpieczyć hasłem :)
IMO skanery twarzy będą dobre dla gadżeciarzy, może też znajdą niszowe zastosowanie w miejscach bardzo strzeżonych albo jako dodatkowy element autoryzacji. A z samą technologią będzie tak jak z odciskami palców – w miarę bezpieczne dopóki ktoś nie rozgryzie tematu jak zrobić dobry model 3D twarzy umożliwiający oszukanie tej technologii.
Do tego twarz zawsze eksponujemy, więc w przeciwieństwie do odcisków palców dane do utworzenia modelu dużo łatwiej będzie można zdobyć.
Kolejne zagrożenie jakie widzę to wyciek danych które są używane do rozpoznawania twarzy i utworzenie na ich podstawie modelu-wytrychu. A może pojawią się jakieś programy i gry wykorzystujące technologię RealSense, które będą dodatkowo wykradać dane z kamery.
Ostatnia sprawa – mając na względzie ostatnie zapędy Microsoftu do zbierania danych wszelakich o użytkownikach to jestem ciekaw czy dane do autoryzacji przez kamerę też będą zbierane (oczywiście w celach statystycznych), a jeśli tak to do czego mogą jeszcze zostać wykorzystane. NSA pewnie już zaciera rączki na taką baza ludzi wraz z trójwymiarowym modelem ich twarzy.
Moim zdaniem nie zastąpi, zwłaszcza że technologia pochodzi z państwa policyjnego jakim jest USA. A mam dziwne wrażenie że te dane zostaną wysłane do „chmury” na fizycznie znajdujących się tam serwerach.
ps mój następny komputer najprawdopodobniej nie będzie miał kamerki, żadnej. Windowsa zresztą też.
Deszyfracja po rozpoznaniu twarzy… eksperci od przesłuchań muszą być w siódmym niebie ;P
„proszę tu chwilkę popatrzyć!” albo wersja bardziej hardcorowa „przytrzymajcie mu głowę!” ;P
Ponoć w stanach nie możesz odmówić zebrania odcisków palców i tym podobnych, czyli fizycznych metod uwierzytelniania, ale z głowy hasła nikt Ci nie zabierze, jeśli nie będziesz chciał podać. Wątpię wiec żeby cokolwiek zastąpiło możliwość używania zwykłego hasła…
Ale hasło można wyłudzić zdalnie łatwiej niż odcisk palca. Myślę, że najbezpieczniej byłoby korzystać z dwóch rozwiązań jednocześnie.
Znając microsoft, to w rozpoznawaniu twarzy pomoże chmura?
W UK odmowa podania hasła/klucza szyfrującego podpada pod paragraf o obrazie sądu i grozi odsiadką (wg Wikipedii co najmniej trzy osoby już jej doświadczyły). U nas prawo pozwala ci nie odpowiadać na pytania, jeśli odpowiedź byłaby samooskarżeniem. Pytanie, czy praktyka „aresztu wydobywczego” nadal funkcjonuje…
Jeszcze jedna sprawa, w razie „kompromitacji” systemu łatwiej zmienić hasło niż cechy biometryczne
Dokładnie. Ogólnie to jest mieszanie składników (form) uwierzytelnienia: zamiast „coś, co wiesz” (hasło) dajemy „coś, czym jesteś”. Nie najlepsze podejście do problemu moim zdaniem, powinno się iśc w kierunku używania więcej niż jednej zamiast prostej zamiany. Poza tym skoro masa stron nie potrafi bezpiecznie przechowywać danych uwierzytelniających (patrz: hasła plaintekstem lub MD5 w wyciekach z baz) to zastąpienie haseł informacjami biometrycznymi brzmi jak przepis na katastrofę.
A w razie śmierci admina umowa o pracę musi gwarantować pracodawcy prawo do używania jego głowy? A w przypadku zmian urazowych? Hasła (albo klucze) pozostaną jeszcze długo…
Jest to tak głupie, że aż mi się przypomniał najnowszy film Mission Impossible. Takie uwierzytelnianie może być jedynie dodakiem, jednym z wielu kroków, ale służby specjalne muszą być tym pomysłem wniebowzięte. No i tak jak @vanitas wspomniałm po wypadku może być problem.
Ale chwilka ;) Wszystko zależy od implementacji rozwiązania. Jeśli miało by to działać na podobnej zasadzie jak YubiKey i nie było by to jedynym warunkiem autentykacji/autoryzacji to jak najbardziej jestem ZA.